Ограничение сетевого доступа к MongoDB
Без категорий | Комментировать запись
MongoDB (или просто Mongo) – это документоориентированная система управления базами данных, которая используется для хранения информации во многих современных веб-приложениях. Крайне важно, чтобы лица, ответственные за управление базой данных Mongo (впрочем, это касается любой СУБД), придерживались передовых методов обеспечения безопасности – это позволяет избежать потери данных в случае аварии, предотвратить их попадание в руки злоумышленников и т.п.
В этой серии мануалов вы найдете общий обзор встроенных функций безопасности MongoDB, а также узнаете о главных передовых методах обеспечения безопасности БД.
Примечание: Другие мануалы этой серии вы найдете по тегу mongodb-security.
Самый базовый способ защитить данные, которые вы храните в MongoDB, – это ограничить сетевой доступ к серверу, на котором работает база данных. Один из способов сделать это – настроить виртуальную частную сеть (или VPN). VPN представляет свое соединение так, как если бы это была локальная частная сеть, благодаря чему она обеспечивает надежную связь между серверами внутри нее. Запустив MongoDB на VPN, вы заблокируете доступ к данным любой машине, которая не подключена к той же VPN.
Однако для предотвращения доступа неавторизованных пользователей к вашей установке MongoDB одной сети VPN может оказаться недостаточно.
Например, если вы работаете в большой команде, доступ к вашей VPN понадобится большому количеству людей, но при этом лишь некоторым из них нужен доступ к вашей БД. Чтобы получить более тонкий контроль над теми, кто имеет доступ к вашим данным, рекомендуем настроить на сервере базы данных брандмауэр.
Брандмауэр обеспечивает безопасность сети, фильтруя входящий и исходящий трафик согласно набору определенных пользователем правил. Обычно инструменты брандмауэра позволяют определять правила с высокой степенью точности, что дает очень гибкий контроль над подключениями на вашем сервере (с определенных IP-адресов к определенным портам). К примеру, при необходимости мы можем написать правила, которые открывали бы доступ к серверу MongoDB только серверу приложений
Еще один способ ограничить доступ вашей базы данных к сети – настроить привязку IP (IP binding). По умолчанию при установке MongoDB привязывается только к localhost. Это означает, что без дополнительной настройки новая установка Mongo сможет принимать только те соединения, которые исходят от localhost (то есть того же сервера, на котором экземпляр MongoDB установлен).
Эта стандартная настройка является безопасной, поскольку она гарантирует, что база данных доступна только тем, у кого уже есть доступ к серверу, на котором она установлена. Однако этот параметр вызовет проблемы, если вам потребуется удаленный доступ к БД – вы не сможете подключиться к БД с другого компьютера. В таких случаях вы можете дополнительно привязать свой экземпляр MongoDB к IP-адресу или имени хоста удаленной машины.
Читайте также:
- Что такое брандмауэр и как он работает?
- Настройка сервера OpenVPN
- Настройка удаленного доступа к MongoDB
